Upload
hoangkhuong
View
232
Download
3
Embed Size (px)
Citation preview
C R N A G O R A
MINISTARSTVO ZA INFORMACIONO DRUŠTVO
POLITIKA
INFORMACIONE BEZBJEDNOSTI U CRNOJ GORI
Podgorica, oktobar 2009 godine
Politika informacione bezbjednosti
Predlog Strana 2
Sadržaj: 1. UVODNE NAPOMENE ....................................................................................................... 3 2. PRIJETNJE INFORMACIONIM SISTEMIMA ................................................................... 5 3. STANDARDI INFORMACIONE BEZBJEDNOSTI ........................................................... 7
3.1 ISO/IEC 27001 ......................................................................................................... 9 3.2 ISO/IEC 27002 (ISO/IEC 17799) ........................................................................... 10
3.3 NATO STANDARDI ............................................................................................. 11 4. EU I NATO POLITIKA INFORMACIONE BEZBJEDNOSTI ......................................... 13
4.1 OBIM EVROPSKE POLITIKE ............................................................................. 13 4.2 DEFINISANJE EVROPSKE INFORMACIONE BEZBJEDNOSTI .................... 14 4.3 MINIMALNI BEZBJEDNOSNI STANDARDI .................................................... 15 4.5 NATO POLITIKA INFORMACIONE BEZBJEDNOSTI .................................... 16
4.5 ZNAČAJ EU I NATO INFORMACIONE BEZBJEDNOSTI ............................... 16
5. POLITIKA INFORMACIONE BEZBJEDNOSTI .............................................................. 18 5.1 DEFINICIJA POLITIKE INFORMACIONE BEZBJEDNOSTI .......................... 18 5.2 ULOGA POLITIKE INFORMACIONE BEZBJEDNOSTI .................................. 19
5.2.1 Povjerljivost (Confidentiality) ................................................................. 20 5.2.2 Integritet (Integrity) ................................................................................. 22
5.2.3 Raspoloţivost (Availability) ..................................................................... 23 6. PROCES USPOSTAVLJANJA BEZBJEDNOSNE POLITIKE ......................................... 25
6.1 PROCJENA RIZIKA .............................................................................................. 25 6.1.1 Identifikacija resursa ................................................................................ 26
6.1.2 Analiza rizika ........................................................................................... 27 6.1.3 Tumačenje rezultata ................................................................................. 27
6.2 POLITIKA INFORMACIONE BEZBJEDNOSTI ORGANIZACIJE .................. 28 6.2.1 Dokument bezbjednosne politike ............................................................. 28
6.2.2 Provjera bezbjednosne politike ................................................................ 29 6.3 ORGANIZACIJA INFORMACIONE BEZBJEDNOSTI ..................................... 29 6.4 UPRAVLJANJE IMOVINOM ............................................................................... 30
6.5 ZAŠTITA OD ZAPOSLENIH ............................................................................... 30 6.6 FIZIČKA ZAŠTITA I ZAŠTITA OD OKOLINE ................................................. 31
6.7 UPRAVLJANJE KOMUNIKACIJAMA I OPERACIJAMA ................................ 31 6.8 PROVJERA PRISTUPA ........................................................................................ 32 6.9 RAZVOJ I ODRŢAVANJE SISTEMA ................................................................. 33
6.10 UPRAVLJANJE INCIDENTIMA U INFORMACIONOM SISTEMU .............. 33 6.11 UPRAVLJANJE POSLOVNIM KONTINUITETOM ........................................ 33
6.12 USKLAĐIVANJE ................................................................................................ 34 7. ZAKLJUČAK ...................................................................................................................... 35
POJMOVI ................................................................................................................................. 36
Politika informacione bezbjednosti
Predlog Strana 3
1. UVODNE NAPOMENE
Informacija je podatak sa odreĎenim značenjem, koji ima upotrebnu vrijednost
odnosno saznanje koje se moţe prenijeti u bilo kojem obliku (pisanom, audio, vizualnom,
elektronskom ili nekom drugom). Da bi se informacijama moglo kvalitetno upravljati
potrebno ih je na adekvatan način klasifikovati, precizno im odrediti svrhu, vrijednost,
dostupnost i ostale atribute. Vlasništvo nad informacijama i njihova upotreba postali su
ključni za funkcionisanje drţave, privrede, javnih sluţbi i svakodnevni ţivot graĎana.
Količina i vrijednost informacija u svakodnevnom ţivotu i radu neprekidno raste.
Informacije su danas najvrjednija imovina svakog poslovnog sistema, njegov intelektualni
kapital. Nalaze se u različitim oblicima i na različitim medijima. U postindustrijskom društvu
dominantna vrijednost kompanija nije u njenim finansijskim sredstvima već u znanju, ljudima
i informacijama. Informaciona imovina danas čini najveći dio vrijednosti organizacije.
Kvalitetno upravljanje informacijama zahtijeva upotrebu savremenih informaciono
komunikacionih tehnologija. Brzi razvoj primjene tih tehnologija uzrokuje i sve veće
mogućnosti napada na informacione sisteme i zloupotrebu informacija. Upravo zato,
informacije se moraju štititi i mogu ih koristiti samo ovlašćeni korisnici.
Opasnosti za naše društvo koje proizvode kvarovi, zloupotrebe ili sabotaţe
informacionih sistema danas mogu proizvesti mnogo veću štetu nego ikad ranije. Postoje
brojni i uglavnom dostupni izvori koji govore statistički o ovom problemu (FBI CSI, SANS
Institute i dr.). Lako je uočiti da je problem vrlo ozbiljan i da broj novootkrivenih oblika
ranjivosti informacionih sistema raste eksponencijalno. Dejstvo spoljašnjih i unutrašnjih
prijetnji na informacioni sistem moţe dovesti do neţeljenih posledica koje mogu ugroziti
cijelu društvenu zajednicu. Činjenica da ICT u današnje vrijeme utiče na sve vidove ţivota i
rada logično proizvodi moguću opasnost po nacionalnu bezbjednost. Ugroţavanje dolazi od
zloupotreba ICT-a, prije svega računarskih virusa, sajber kriminala, sajber terorizma, sajber
špijunaţe, zloupotrebe ličnih podataka i drugih napada na informacije.
Sa porastom broja korisnika informacionih tehnologija nameće se potreba rješavanja
brojnih pitanja vezanih zainformacione bezbjednosti. Taj pojam se ne odnosi isključivo na
tehničke mjere zaštite, već podrazumijeva i administrativne mjere (bezbjednosna politika,
pravilnici, procedure) i fizičke mjere (video nadzor, zaštita prostorija, fizička kontrola
pristupa). Kako bi informacioni sistem bio zaštićen na pravi način, potrebno je uspješno
uskladiti, implementirati i nadzirati sve potrebne mjere zaštite.
Informaciona bezbjednost u savremenim uslovima postala je jedan od ključnih faktora
razvoja, zbog čega se uspostavljaju brojni standardi koji uključuju najbolju praksu i
preporuke o bezbjednom upravljanju informacijama. Standardi predstavljaju smjernice za
izradu bezbjednosne politike. Ponekad imaju uopšten sadrţaj pa samim tim ne odgovaraju
specifičnim potrebama organizacija.
Politika informacione bezbjednosti
Predlog Strana 4
Bezbjednost informacionih sistema vrlo je kompleksna i široka tema. Činjenica je da
bez kvalitetnog programa bezbjednosti informacioni sistem nije moguće u potpunosti zaštiti.
Kvalitetan program omogućava uspostavljanje bezbjednosti na svim kritičnim tačkama
sistema, u bilo kojem segmentu bezbjednosti, a jedan od najboljih programa za postizanje
navedenog cilja jeste kreiranje bezbjednosne politike.
Politika informacione bezbjednosti
Predlog Strana 5
2. PRIJETNJE INFORMACIONIM SISTEMIMA
Prijetnja po bezbjednost nekom informacionom sistemu je svaki dogaĎaj koji moţe
dovesti do narušavanja povjerljivosti, integriteta i raspoloţivosti podataka. Vaţno je
napomenuti da svaka prijetnja i neovlašćeni pristup informacionom sistemu, imaju različite
posljedice, npr. uništavanje podataka ili narušavanje ispravnog rada cijelog informacionog
sistema.
Postoji nekoliko podjela prijetnji informacionim sistemima. Pitanje je da li svaka
podjela dovoljno detaljno razmatra sve uslove i mogućnost nastanka štete na informacionom
sistemu. Vaţnost detaljne podjele je u pronalasku primjerenih načina zaštite i standardizaciji
podjele. Prema klasifikaciji NIST-a (National Institute of Standards and Technology)
prijetnje informacionim sistemima se mogu podijeliti na:
1. Greške i kvarove - ova prijetnja se često podcjenjuje, ali moţe nanijeti značajnu
štetu informacionom sistemu. Najčešći uzrok greškama i kvarovima su ljudske
radnje. Mogu ih prouzrokovati zaposleni, proizvoĎači programskih paketa ili
administratori informacionih sistema. Procjenjuje se da je gotovo 65% napada
prouzrokovano greškama i kvarovima.
2. Prevare i krađe - zlonamjerna aktivnost kojom napadač pokušava steći
finansijsku ili neku drugu dobit. Prevare i kraĎe se mogu dogoditi aktivnostima
unutar (zaposleni) ili izvan (udaljeni napad) organizacije. MeĎutim, češći su
slučajevi aktivnosti prevare i kraĎe unutar organizacije. Na primjer, zaposleni ima
pristup odreĎenim finansijskim podacima i lako moţe upravljati iznosima koje je
potrebno obraditi. Vrlo lako je navesti razloge zbog kojih se prevare i kraĎe
dogaĎaju češće od strane zaposlenog nego udaljenim napadima:
zaposleni imaju pristup podacima i informacionom sistemu,
zaposleni znaju koje podatke sistem sadrţi i koje su bezbjednosne provjere, i
zaposleni znaju koje su prilike za prevaru i kraĎu, te kolika je vrijednost
mogućeg plijena.
3. Sabotaže od strane zaposlenih - što je česta prijetnja bezbjednosti i podacima
informacionog sistema. Kao što je već naglašeno, zaposleni imaju pristup, tako da
znaju u kojim djelovima sistema je moguće prouzrokovati najveću štetu. Ako je u
pitanju nezadovoljstvo zaposlenog, sabotaţa je vrlo čest slučaj, bilo da se radi o
sadašnjem ili bivšem zaposlenom. Najčešći primjeri sabotaţe su:
fizičko uništavanje djelova informacionog sistema,
postavljanje logičke bombe (logic bomb), tj. zlonamjernog programskog koda
čija je namjena izbrisati, premjestiti ili izmijeniti podatke,
namjerni unos neispravnih podataka,
„rušenje“ informacionih sistema,
brisanje i uništavanje podataka,
kraĎa podataka i ucjena pod prijetnjom otkrivanja tih podataka široj javnosti ili
konkurenciji, ili
namjerno mijenjanje podataka.
4. Gubitak fizičke i infrastrukturne podrške - je vrsta prijetnje koju nije moguće u
potpunosti provjeriti, ponekad ni spriječiti, a moţe nanijeti veliku štetu sistemima.
Takvi slučajevi mogu biti npr. prekid u napajanju električnom energijom, prekid
komunikacija, poplava, poţar, zemljotresi, itd.
5. Napadače (hackers) - nameće se kao najopasnija zbog razvoja Interneta i
komunikacija, poslovanja i drugih aktivnosti putem Interneta. Napadačem se
Politika informacione bezbjednosti
Predlog Strana 6
smatra osoba koja svoj znanje koristi kako bi ugrozila bezbjednost računara ili
podataka.
6. Zlonamjerne programe (malware) - vrsta prijetnje koja narušava bezbjednost
informacionog sistema zlonamjernim programima poput crva, virusa, trojanskih
konja, logičkih bombi i drugih. MeĎu najčešćim i najopasnijim prijetnjama su
virusi, trojanski konji i crvi.
7. Otkrivanje privatnosti korisnika - postaje vrlo česta prijetnja s obzirom da sve
veći broj informacionih sistema sadrţi veliki broj ličnih podataka korisnika.
Primjeri takvih ustanova su banke, drţavne institucije i sve veći broj kompanija.
TakoĎe, treba pomenuti i podjelu prema ISO/IEC 17799:2000 standardu (Code of
Practice for Information Security Management) koji definiše ispravne i bezbjedne načine
upravljanja nekim informacionim sistemom. Prijetnje su podijeljene obzirom na uzroke
nastanka:
prirodne katastrofe - sve pojave koje su nepredvidive ili ih je nemoguće
provjeriti, npr. potresi, poplave, oluje, zagaĎenja, poţari, itd.
tehnički uzroci - tehničke greške, kvarovi, komunikacijske greške, različiti oblici
zračenja, itd.
nenamjerne ljudske radnje - neposlušnost, kršenje pravila, upotreba
neprimjerenih programa, itd.
namjerne ljudske radnje - uništavanje, sabotaţa, špijunaţa, ratna razaranja,
prevara, kraĎa, zlonamjerni programi, itd.
Computer Security Institute (CSI) je naveo vrlo jednostavnu podjelu prijetnji, uzevši
poziciju prijetnje u odnosu na poziciju informacionog sistema, tj. prijetnje je podijelio na
unutrašnje i spoljašne. Unutašnjim prijetnjama smatraju se sve namjerne i nenamjerne
radnje korisnika koji imaju direktan pristup informacionom sistemu. Spoljašnje prijetnje su
definišu kao pokušaji nanošenja bilo kakvog oblika štete udaljenim napadima ili ubacivanjem
zlonamjernih programa u informacioni sistem sa udaljenih lokacija.
Politika informacione bezbjednosti
Predlog Strana 7
3. STANDARDI INFORMACIONE BEZBJEDNOSTI
Uspostavljanje politike informacione bezbjednosti u organizaciji zahtijeva primjenu
standarda za bezbjednost informacionih sistema. Uspostavljanje bezbjednosne informacione
politike prema raspoloţivim standardima obezbjeĎuje sve aspekte zaštite nekog
informacionog sistema. Na taj način se obezbjeĎuje i kvalitet uspostavljenih mjera
informacione bezbjednosti.
Standardi iz ISO/IEC 27000 serije organizacijama pružaju smjernice za izradu,
primjenu i provjeru bezbjednosti informacionih sistema čime se obezbjedjuje
povjerljivost, integritet i raspoloživost informacionog sadržaja, sistema i procesa unutar
organizacije.
Ovi standardi su proizvod ISO/IEC JTC1 (Joint Technical Committee 1) SC27 (Sub
Committee 27), ISO tehničkog tijela, koje preuzima najbolju praksu i standarde iz oblasti
informacione bezbijednosti i donosi ih kao meĎunarodne standarde.
Za područje bezbjednosti informacionih sistema najčešće se koriste sledeći ISO
standardi:
ISO/IEC 27001 Information Security Management Systems Requirements
(Bivši standard BS 7799-2).
Osnovni standard za ustanovljavanje, implementaciju, kontrolu i unapreĎenje
ISMS-a u organizaciji bilo koje vrste.
ISO/IEC 27002 Code of practice for Information Security Management
(Bivši standard ISO/IEC 17799).
Standard sa smjernicama za sprovoĎenje bilo koje od 133 preporučane mjere
zaštite (kontrole) i koristi se zajedno sa standardom ISO/IEC 27001.
ISO/IEC 27005 Information Security Risk Management
(Nastao na bazi standarda BS 7799-3).
Standard koji detaljno opisuje na koji način treba sprovesti procjenu i ovladati
informacionim rizicima u bilo kojoj vrsti organizacije.
ISO/IEC 27006 Guide to the certificaion / registration process.
Daje zahtjeve za akreditaciju za sertifikaciona tijela koja sertifikuju ISMS prema
ISO/IEC 27001 zahtjevima, navodi specifične zahtjeve za sertifikaciju i zajedno sa
ISO/IEC 17021 predstavlja osnovni standard za akreditaciju.
ISO/IEC 27011 - Information Security Management Guidelines for the
telecommunications industry (published by ISO/IEC in 2008 and also published by
the ITU as X.1051).
U pripremi su sledeći standardi:
ISO/IEC 27003 - ISMS Implementation Guide
ObezbeĎuje uputstvo za procesno orijentisani pristup i uspešnu primenu ISMS u
skladu sa ISO/IEC 27001.
ISO/IEC 27004 - Information Security Management measurement
Daje uputsva i savete kako sprovesti merenja u cilju ocene efektivnosti ISMS.
ISO/IEC 27007 - A Guideline for Information Security Management auditing
(focusing on the management system)
Politika informacione bezbjednosti
Predlog Strana 8
Obezbjediće uputstva za interne i eksterne provjere ISMS i program provjera u
skladu sa standardom ISO/IEC 27001.
ISO/IEC 27008 - A Guideline for Information Security Management auditing
(focusing on the security controls)
Daje uputstva za ISMS metode i tehnike upravljanja rizikom kao podrška ISO/IEC
27001
ISO/IEC 27013 - A Guideline on the integrated implementation of ISO/IEC
20000-1 and ISO/IEC 27001
ISO/IEC 27014 - An information security governance framework
ISO/IEC 27015 - Information security management guidelines for the finance and
insurance sectors
ISO/IEC 27031 - A specification for ICT readiness for business continuity
ISO/IEC 27032 - A Guideline for cyber security (essentially, 'being a good
neighbor' on the Internet)
ISO/IEC 27033 - IT network security, a multi-part standard based on ISO/IEC
18028:2006
ISO/IEC 27034 - A Guideline for application security
Međusobne veze standarda serije ISO/IEC 27000
Ostali standardi koje treba navesti iz oblasti informacione bezbjednosti su:
NIST SP 800-30 - Risk management guide for information technology systems
Standard koji detaljno propisuje na koji način vršiti procjenu i ovladati
informacionim rizicima, iako je pisan za primjenu u američkim drţavnim
sluţbama, primjenjljiv je na sve vrste organizacija.
NIST SP 800-34 – Contingency planning guide for IT systems
Preporuke za izradu planova, procedura i tehničkih mjera za oporavak IT sistema.
BS 25999-2 - Specification for business continuity management
Standard koji specificira kako postaviti osnove za upravljanje kontinuitetom
poslovanja u organizaciji bilo koje vrste.
BS 25999-1:2006 Business continuity management: Code of Practice
Politika informacione bezbjednosti
Predlog Strana 9
Smjernice za sprovoĎenje upravljanja kontinuitetom poslovanja.
ISO/IEC 24762 - Guidelines for information and communications technology
disaster recovery services)
Smjernice za disaster recovery servise kao neophodni segment upravljanja
kontinuitetom poslovanja. Sa ovim smjernicama detaljnije se opisuju mjere
informacione bezbijednosti i postupanje u kriznim situacijama.
NIST SP 800-61 - Computer security incident handling guide
Standard koji opisuje na koji način se upravlja incidentima informacione
bezbijednosti.
ISO/IEC TR 18044 - Information security incident management
Ovaj standard takoĎe opisuje na koji način se upravlja incidentima informacione
bezbijednosti.
NIST SP 800-100 - Information security handbook: A guide for managers
Standard koji opisuje na koji način se upravlja informacionom bezbijednošću iz
pozicije različitih uloga u organizaciji. Iako je pisan za primjenu u američkim
drţavnim sluţbama, primjenjiv je na sve vrste organizacija.
Pri izradi informacione politike bezbjednosti uglavnom se preporučuje upotreba dva
standarda ISO/IEC 27001 i ISO/IEC 27002.
3.1 ISO/IEC 27001
ISO/IEC 27001 standard (ISO/IEC 27001 Informacione tehnologije – Tehnike zaštite -
Specifikacije za sistem upravljanja informacionim sistemom) je izraĎen 2005. godine, a nastao
je na osnovu standarda BS 7799 (British Standards). Sadašnji standard je pod revizijom, jer
su se donošenjem novih standarda iz iste ISO/IEC 27000 serije, neka pravila preklopila. Kako
bi se izbjegle zabune, očekuje se da će ISO i IEC 2010. godine objaviti novu reviziju ovog
standarda.
ISO/IEC 27001 je sluţbena grupa specifikacija na osnovu kojih organizacije imaju
pravo zatraţiti postupak sertifikacije, naravno ukoliko su primijenile taj standard na sistem
upravljanja bezbijednosti informacija. Ovaj standard propisuje zahtjeve za ustanovljavanje,
implementaciju, kontrolu i unapreĎenje ISMS-a, sistema za upravljanje bezbijednošću
informacija. Standard je primjenjiv na sve vrste organizacija (komercijalne, neprofitne,
drţavne institucije, itd.) i sve veličine organizacija, od malih pa do velikih svjetskih
organizacija.
Standard se sastoji od 5 dijelova:
1. Sistem za zaštitu informacija,
2. Odgovornost rukovodećih ljudi,
3. Unutrašnje provjere sistema za zaštitu informacija,
4. Provjera valjanosti sistema za zaštitu informacija,
5. Poboljšanja na sistemu za zaštitu informacija.
TakoĎe u standardu su navedeni ciljevi provjere koje je potrebno ostvariti i provjere
koje je potrebno sprovesti kako bi se ostvarili ti isti ciljevi.
Postoje institucije akreditovane za sertifikaciju prema ISO/IEC 27001 standardu, ali
isto tako i velik broj organizacija koje su sertifikovale svoje informacione sisteme prema
Politika informacione bezbjednosti
Predlog Strana 10
ISO/IEC 27001 standardu ili standardima pojedinih drţava. Sertifikacija je stvar izbora
organizacije, ali vrijedi spomenuti da poslovni partneri ponekad traţe da organizacija s kojom
saraĎuju ima sertifikat.
3.2 ISO/IEC 27002 (ISO/IEC 17799)
ISO/IEC 27002 standard je nastao na osnovu BS 7799-1 standarda. ISO/IEC 27002 je
zvaničan standard, ali bolje ga je protumačiti kao skup smjernica koje je moguće upotrijebiti.
Trenutno ovaj standard je pod revizijom, kako bi se u budućnosti mogao uskladiti sa
izmijenjenim standardom ISO/IEC 27001. Standard sadrţi 39 bezbjednosnih odredbi što ga
čini vrlo detaljnim i temeljnim.
Suštinski, standard sadrţi polazno poglavlje „Procjena i upravljanje ICT rizikom“ sa
11 djelova u kojima su grupisane bezbjedonosne odredbe:
1. Bezbijedonosna
politika
Donošenje bezbijedonosnog dokumenta sa smjernicama o
informacionoj bezbijednosti, podrţanog standardima i procedurama
kao i jasno iskazanim stavom menadţmenta o informacionoj
bezbijednosti.
2.
Organizacija
informacione
bezbijednosti
Definisanje i implementacija upravne strukture za informacionu
bezbijednost.
3. Upravljanje
imovinom
Definisanje – prepoznavanje informacione imovine koju organizacija
posjeduje. Klasifikacija informacija.
4. Bezbijednost kod
zaposlenih
Podjela odgovornosti i definisanje prava pristupa meĎu zaposlenima.
Edukacija i obuka zaposlenih u pogledu informacione bezbijednosti.
5. Fizička zaštita i
zaštita okoline
Zaštita IT opreme od zlonamjernih ili nenamjernih oštećenja,
gubitaka, kao i oštećenja usled neadekvatnih radnih uslova .
6.
Upravljanje
komunikacijama i
operacijama
Uspostavljanje bezbijedonosnih kontrola za upravljanje IT sistemom i
komunikacijama.
7. Kontrola pristupa Nadzor i kontrola pristupa ICT sistemu i podacima u cilju
sprečavanja neovlašćene upotrebe.
8.
Nabavka, razvoj i
održavanje
informacionih sistema
VoĎenje informacione bezbijednosti u svim fazama ţivotnog ciklusa
ICT sistema (razvoj/nabavka, testiranje, implementacija, odrţavanje)
9.
Upravljanje
bezbijedonosnim
incidentima
Promptno izvještavanje o bezbijedonosnim incidentima i
sprovoĎenje odgovarajuće kontrole incidenata.
10.
Upravljanje
poslovnim
kontinuitetom
Analiza, dokumentovanje i testiranje plana postupanja u slučaju
nepredviĎenih okolnosti, prirodnih ili ljudski uzrokovanih havarija.
11. Usklađivanje
UsklaĎivanje informacionih sistema sa zakonskom regulativom,
standardima i tehničkim uputstvima kao i način korišćenja audit alata
i zaštita od njihove zloupotrebe.
Politika informacione bezbjednosti
Predlog Strana 11
Struktura ISO/IEC 27002 standarda
Svaki od djelova sadrţi odreĎeni broj glavnih bezbjednosnih kategorija, a pod
bezbjednosnim kategorijama navodi se cilj provjere koji je potrebno ostvariti i provjere koje
je moguće primijeniti radi ostvarivanja cilja. ISO/IEC 27002 sadrţi i predloge organizacije
sistema za zaštitu informacija. U standardu nije naglašeno koje specifične bezbjednosne
provjere je potrebno raditi, već samo kako sistem za upravljanje mora funkcionisati jer:
od svake organizacije se očekuje da sprovede detaljnu procjenu rizika kako bi se
odredile specifične potrebe prije izbora sistema provjere,
nemoguće je nabrojati sve moguće provjere u standardu za opštu primjenu.
3.3 NATO STANDARDI
Nato bezbjednosna informaciona politika je ustanovljena dokumentom C-M(2002)49
(Security in NATO) i 50. Pored ovog dokumenta postoje i direktive koje interpretiraju ovaj
dokument/politiku:
AC/35-D/2000 Directive on Personnel Security,
AC/35-D/2001 Directive on Physical Security, AC/35-D/2002 Directive on Security of Information,
AC/35-D/2003 Directive on Industrial Security,
Politika informacione bezbjednosti
Predlog Strana 12
AC/35-D/2004 (AC/322-D/0052) Primary Directive on INFOSEC,
AC/35-D/2005 INFOSEC Management Directive.
Pored navedenih neophodno je pomenuti i NATO standarde koji se uredjuju i
organizuju kroz sledeće organizacije:
NATO Standardization Organisation (NSO),
NATO Committee for Standardization (NCS),
NATO Standardization Staff Group (NSSG),
NATO Standardization Agency (NSA).
Radi se o standardima čije ustanovljavanje procesa, procedura, termina i uslova za
zajedničke vojne ili tehničke postupke ili opremu izmeĎu zemalja članica Saveza se ostvaruje
kroz tzv. Standardization Agreement, skraćenica STANAG. Svrha je pruţanje zajedničkih
operativnih i administrativnih postupaka i logistika, tako da svaka članica moţe kupovati i
koristiti pomoć od druge drţave članice.
Politika informacione bezbjednosti
Predlog Strana 13
4. EU I NATO POLITIKA INFORMACIONE BEZBJEDNOSTI
Problem informacione bezbjednosti jedno je od strateških pitanja Evropske Unije (u
nastavku EU) a samim tima i razlog kreiranja evropske politike informacione bezbjednosti.
Osnovna namjena bezbjednosne politike EU je zaštita povjerljivosti, integriteta i
raspoloţivosti informacija i informacionih sistema. Savjet EU (Council of the European
Union) glavna je zakonodavna institucija Evropske Unije. Savjet EU usvojio je konvencije,
evropske sporazume i pripadajuće protokole, i preporuke kojima se nastoji regulisati pitanje
mreţne i informacione bezbjednosti. Strategija EU prema bezbjednosnoj problematici
odreĎena je upravo Odlukom Savjeta EU o prihvatanju bezbjednosne politike koja je
donesena 19. marta 2001. godine, a stupila je na snagu 1. decembra 2001. godine te Odlukom
Evropske komisije o sprovoĎenju bezbjednosne politike koja je donesena 6. juna 2001.
godine.
4.1 OBIM EVROPSKE POLITIKE
Evropska politika mreţne i informacione bezbjednosti razmatra se u kontekstu
postojećih telekomunikacionih politika, politika zaštite podataka i politika sajber kriminala
(cybercrime). Interakcija pomenutih politika prikazana je na slici.
Interakcija politika
Odlukom Savjeta EU o prihvatanju bezbjednosne politike definišu se specifične
aktivnosti u području mreţne i informacione bezbjednosti za zemlje članice, a to su:
podizanje svijesti putem javnog informisanja, realizacija edukativnih promocija i
edukacija,
efikasan odgovor na bezbjednosne incidente putem CERT (Computer Emergency
Response Team) organizacija zemalja članica s ciljem unapreĎenja i koordiniranog
rada istih,
tehnološka podrška za istraţivanja i razvoj bezbjednosti povezano sa strategijom
unapreĎenja mreţne i informacione bezbjednosti,
pruţanje podrške i promocija standardizacije i sertifikacije na osnovu postojećih
bezbjednosnih standarda,
Politika informacione bezbjednosti
Predlog Strana 14
harmonizacija pozitivnih propisa na nacionalnom nivou,
meĎunarodna saradnja na području mreţne i informacione bezbjednosti.
Svakako je potrebno naglasiti da je bezbjednosna politika namijenjena trima glavnim
grupama:
1. građanima kojima se mora obezbjedati zaštita ličnih podataka koja predstavlja
osnovni uslov individualne slobode u demokratskoj drţavi,
2. kompanijama koje trebaju štititi intelektualno vlasništvo i lične podatke graĎana,
poštovati konkurentnost i obezbijedati produktivnost, a što se sve vrlo često
zasniva na kompleksnim informacionim sistemima,
3. državnim aparatima koji su odgovorni za zaštitu osjetljivih i klasifikovanih
informacija kao i za obezbjedjivanje kontinuiranog poslovanja drţavnih institucija
i infrastrukture.
Navedene grupe imaju zajednički cilj, a to je bezbjednost informacija ispunjavanjem
relevantnih tehničkih, operativnih i zakonskih uslova. Bezbjednosna politika, moţe se reći,
predstavlja kompromis izmeĎu zaštite individualnih sloboda i implementacije restriktivnih
bezbjednosnih kontrola i alokacije materijalnih i ljudskih resursa.
4.2 DEFINISANJE EVROPSKE INFORMACIONE BEZBJEDNOSTI
Bezbjednosni zahtjevi koji se postavljaju ispred organizacije u dijelu mreţne i
informacione bezbjednosti, se sastoje se od obezbjedjivanja sledećih meĎusobno povezanih
karakteristika:
povjerljivost informacija.
integritet informacija,
raspoloţivost informacija,
Mreţna i informaciona bezbjednost definišu se kao sposobnost odbrane mreţe i
informacionog sistema od gubitka raspoloţivosti, narušavanja integriteta i kompromitovanja
povjerljivosti informacija koje su smještene ili koje se prenose upotrebom odreĎenih servisa,
a koji mogu biti ugroţeni nenamjernim dogaĎajima ili malicioznim akcijama.
Mreţna i informaciona bezbjednost ima glavne ciljeve, a to su:
zaštita klasifikovanih informacija od špijunaţe, kompromitovanja ili
neautorizovanog otkrivanja,
zaštita informacija koje se razmjenjuju putem mreţa i informacionih sistema od
narušavanja integriteta i gubitka raspoloţivosti,
zaštita informacija od sabotaţe i malicioznih akcija,
ograničavanje posljedica i usvajanje potrebnih dopunskih mjera u slučaju
ugroţavanja (napada).
Obzirom na činjenicu da je klasifikacija informacija osnov za bezbjednosti, posebna
paţnja je posvećena pravilnoj klasifikaciji informacija prema odreĎenim nivoima, a ne
pretjeranoj ili nedovoljnoj klasifikaciji informacija. Pod pojmom EU klasifikovane
informacije podrazumijeva se bilo koja informacija i materijal čije neovlašćeno otkrivanje
moţe prouzrokovati štetu interesima EU ili bilo kojoj od zemalja članica.
Politika informacione bezbjednosti
Predlog Strana 15
U evropskoj bezbjednosnoj politici dokumentima se definišu pisma, bilješke,
zapisnici, izvještaji, memorandumi, poruke, skice, fotografije, dijapozitivi, filmovi, mape,
grafikoni, matrice, trake pisaćih mašina ili štampača, trake, kasete, računarski diskovi, CD
ROM ureĎaji, ili bilo koji drugi fizički medij na kojem se informacija moţe smjestiti i
prenositi.
Osnovi principi bezbjednosnih mjera su:
obezbijediti povjerljivost, integritet i raspoloţivost informacija,
obezbijediti da se informacijama pristupa na temelju načela „need-to-know“,
spriječiti bilo kakvu vrstu neovlašćenog pristupa klasifikovanim informacijama,
obezbijediti identifikaciju osoba čiji poloţaj moţe ugroziti bezbjednost
klasifikovanih informacija.
4.3 MINIMALNI BEZBJEDNOSNI STANDARDI
Bezbjednosna politika EU propisuje minimalne bezbjednosne standarde koje trebaju
zadovoljiti zemlje članice. Minimalni bezbjednosni standardi obuhvaćaju sledeća područja:
ljudske resurse,
fizičku bezbjednost,
bezbjednost informacija,
bezbjednost informacionih sistema,
razmjenu informacija s trećim stranama.
Ljudski resursi - Pod bezbijedonosnim standardima vezanim uz ljudske resurse
podrazumijevaju se bezbijedonosne provjere zaposlenih kao predradnja dodjeljivanju
ovlašćenja u obavljanju poslova.
Fizička bezbjednost - Fizička bezbjednost obuhvata primjenu fizičkih i tehničkih
mjera zaštite na mjestima na kojima se nalaze klasifikovane informacije. Glavni cilj fizičkih
bezbjednosnih mjera jeste spriječiti neovlašćeni pristup klasifikovanim informacijama.
Bezbjednost informacija - Bezbjednost informacija odnosi se na identifikaciju i
klasifikaciju informacija. Za pristup informacijama, prema evropskoj politici mreţne i
informacione bezbijednosti, koristi se načelo „need-to-know“. Prema ovom načelu pristup
informacijama se omogućava prema potrebama posla koji se obavlja, a ne prema
hijerarhijskom nivou.
Bezbijednost informacionih sistema (INFOSEC) - Bezbijednost informacionih
sistema uključuje nadgledanje informacionih sistema kako bi se spriječile špijunaţa, sabotaţa,
terorizam i ostale subverzivne aktivnosti. Bezbijednost informacionih sistema podrazumijeva
i uzajamno djelovanje svih strana uključenih u rad informacionog sistema: projektanata
informacionog sistema, odgovornih za implementaciju i operativnost informacionog sistema
kao i korisnika informacionog sistema.
Bezbijednost informacionih sistema unutar EU poznata je pod nazivom INFOSEC
(Information Security) i ona obuhvata:
1. Bezbijednost podataka na elektronskim medijima i računarima (COMPUSEC),
2. Bezbijednost podataka u sistemima za prenos podataka (COMSEC),
Politika informacione bezbjednosti
Predlog Strana 16
3. Bezbijednost informacione infrastrukture u posebnim kategorijama prostora od
različitih vrsta prisluškivanja (TECSEC).
Razmjena informacija s trećim stranama - Trećim stranama smatraju se zemlje
članice ili meĎunarodne organizacije. U postupku razmjene informacija izmeĎu Savjeta EU i
trećih strana bezbijedonosna politika EU propisuje odreĎena ograničenja.
Ukoliko je vlasnik informacije čija se razmjena traţi Savjet EU, tada je Savjet EU
odgovorno za donošenje odluke o razmjeni informacija. Ukoliko je vlasnik informacija čija se
razmjena traţi treća strana, a Savjet EU zahtjeva informaciju, u tom slučaju Savjet EU mora
traţiti odobrenje treće strane za razmjenu informacija. Ako je nemoguće ustanoviti vlasnika
informacije, tada Savjet EU donosi odluku o razmjeni informacija.
Ako Savjet EU prima klasifikovane informacije od treće strane, te informacije moraju
biti tretirane u skladu sa nivom klasifikacije koju je dodijelila treća strana. Ukoliko postoji
nesaglasnost oko klasifikacije informacija koje se razmjenjuju, Savjet EU i treća strana mogu
izvršavati korekcije klasifikacije informacija na osnovu meĎusobnog dogovora.
4.5 NATO POLITIKA INFORMACIONE BEZBJEDNOSTI
Osnovne mjere informatičke bezbjednosti, sa aspekta NATO-a, ogledaju se u :
1. Procjeni bezbjednosnih rizika
2. Definisanju bezbjednosnih potreba
3. Kriptografskoj zaštiti komunikaciono informacionih sistema
4. Tempest zoniranju i opremi (emisiona bezbjednost – TEMPEST)
5. Instaliranju elektronskih sredstava i opreme
6. Bezbjednosnim operativnim procedurama i
7. Bezbjednosnim akreditacijama komunikaciono informacionih sistema.
NATO politika informacione bezbjednosti se bazira na sledećim direktivama: NATO
bezbjednosna politika C-M(2002)49 i 50 i direktive u sastavu Primary Directive on INFOSEC
AC/35-D/2004, AC/322-D/0052, INFOSEC Management Directive AC/35-D/2005, kao i
brojnim uputstvima i instrukcijama, s tim što se velika paţnja polaţe na zaštiti od neţeljenih
elektromagnetnih zračenja, što i opredjeljuje bezbjednosni nivo opreme koja se ugraĎuje u
komunikaciono informacione sisteme (TEMPEST oprema po SDIP standardima).
4.5 ZNAČAJ EU I NATO INFORMACIONE BEZBJEDNOSTI
Na sve veći značaj bezbjednosti informacija i informacionih sistema ukazuju dvije
bitne činjenice. Prva jeste da su NATO i EU potpisale NATO - EU Pakt o bezbjednosti u
Atini još 14. marta 2003. godine, a jedan od ciljeva bio je otvaranje sigurne razmjene
klasifikovanih informacija izmeĎu organizacija.
Druga činjenica je ta da je EU početkom 2004. godine osnovala Evropsku agenciju za
mreţnu i informacionu bezbjednost ENISA (European Network and Information Security
Agency) čiji je glavni cilj promocija i razvoj kulture mreţne i informacione bezbjednosti
unutar EU. U ovom kontekstu aktivnosti ENISA sastoje se od pruţanja savjeta i davanja
preporuka, analize podataka kao i podizanja svijesti o bezbjednosnim prijetnjama kao i
saradnja sa sadašnjim i budućim članicama EU. ENISA takoĎe prati razvoj standarda u
Politika informacione bezbjednosti
Predlog Strana 17
zemljama članicama, podstiče procjene rizika i razvija studije o ovim pitanjima unutar javnog
ali i privatnog sektora.
Ono što je zadatak EU i zemalja članica na području mreţne i informacione
bezbjednosti jeste pribliţavanje bezbjednosne politike EU sa nacionalnim bezbjednosnim
politikama zemalja članica. Ambiciozan koncept izgradnje bezbjednog informacionog sistema
EU zasniva se na nacionalnim politikama i preporučuje upotrebu internacionalnih standarda iz
područja informacione bezbjednosti (ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 15408).
Politika informacione bezbjednosti
Predlog Strana 18
5. POLITIKA INFORMACIONE BEZBJEDNOSTI
Današnje vrijeme jeste vrijeme informacija, znanja, inovativnosti, visokih tehnologija,
integracija i globalizacije. Dio tog procesa je i intenzivan razvoj i primjena informacionih i
komunikacionih tehnologija koje su ušle u sve pore našeg društva i ţivota. Primjena tih
tehnologija je prisutna u bankama, osiguravajućim društvima, industrijskim kompanijama,
zdravstvu, drţavnoj i lokalnoj upravi, školama i fakultetima, istraţivačkoj djelatnosti, ušla je u
kućnu upotrebu, itd. Iz osnova je promijenjen način poslovanja. Svijet je postao „globalno
selo“. Naravno, ova činjenica ima i svoje opasnosti. Adekvatna bezbjednost informacija i
informacionih resursa su neophodan preduslov prilikom realizacije informacionih sistema.
Dosadašnja rješenja na ovom području su uglavnom fokusirala tehničke i fizičke aspekte
zaštite. Procesi globalizacije i integracije danas zahtijevaju, ne samo programe zaštite
već, kompletnu politiku informacine bezbjednosti.
5.1 DEFINICIJA POLITIKE INFORMACIONE BEZBJEDNOSTI
Informacioni sistemi sadrţe podatke kojima se sluţe ovlašćeni korisnici na osnovu
kojih im je omogućen pristup i korišćenje sistema (identifikacija, lozinka, itd.). Obzirom da
takvi podaci ne smiju biti javno dostupni, da ne smiju biti mijenjani bez odobrenja i da ne
smiju biti nedostupni vlasnicima, vaţno je sprovesti odreĎene mjere bezbjednosti kako bi
navedeni uslovi uvijek bili zadovoljeni.
Politika informacione bezbjednosna je skup pravila, smjernica i postupaka koja
definišu na koji način informacioni sistem učiniti bezbjednim i kako zaštititi njegove
tehnološke i informacione vrijednosti. Bezbjednosnom politikom korisniku se nameću
obvezna pravila ponašanja i odgovornosti kako bi se zaštitio informacioni sistem, tj.
informacije smještene u informacionom sistemu, od spoljašnih i unutrašnjih neprimjerenih
uticaja. Politika informacione bezbjednosti organizacije ili institucije prilagođava se
potrebama i poslovnim procesima, pa samim tim nije jednaka za sve.
Politikom se ne odreĎuje na koji način zaštititi informacioni sistem već samo što
zaštititi. Svakodnevnim razvojem tehnologija otkrivaju se i nove metode kojima je moguće
ugroziti sistem. Upravo zbog toga, jednom ustanovljena politika se mora redovno analizirati,
mijenjati i aţurirati kada god se za to ukaţe potreba.
Bezbjednosnom politikom definisana su pravila koja se odnose na:
svu informatičku opremu organizacije (hardver i softver),
osobe odgovorne za administraciju informacionog sistema,
sve zaposlene i korisnike sistema, odnosno osobe koje imaju pravo pristupa,
spoljne saradnike.
Bezbjednosnom politikom obuhvataju se najšira područja bezbjednosnih mjera.
MeĎutim, nijesu svi dijelovi politike potrebni pojedinim grupama korisnika. Recimo,
zaposleni koji koriste sistem ne moraju znati dio politike koji se odnosi na bezbjednost
tehničke opreme ili onaj dio namijenjen spoljnim saradnicima. Čak je preporučljivo
bezbjednosnu politiku pisati u više dijelova.
Politika informacione bezbjednosti
Predlog Strana 19
Korisnici, kojima je bezbjednosna politika namijenjena, često nemaju strpljenja čitati
brojne stranica teksta. Oni uglavnom imaju vrlo mala znanja o tehnologijama koje koriste pri
radu i zbog toga je nuţno definisati bezbjednosnu politiku tako da bude kratka i jasna,
napisana na način da je korisnici mogu razumjeti. Politiku napisanu opširno i stručnim
jezikom običan korisnik ne razumije i površno je ili nikako ne analizira, pa je stoga ne moţe
ni primijeniti.
Nakon definisanja bezbjednosne politike vaţno je obezbijediti da se pravila koja su
definisana bezbjednosnom politikom sprovode i poštuju. Da bi se to postiglo bitno je svakom
korisniku sistema dati na znanje da je bezbjednosna politika uvedena i upoznati ga sa
njegovim duţnostima. Postoji više načina kako korisnike upoznati sa bezbjednosnom
politikom, npr. dijeljenjem dokumenta politike ili objavljivanjem bezbjednosne politike na
web stranicama kompanije itd.
5.2 ULOGA POLITIKE INFORMACIONE BEZBJEDNOSTI
UvoĎenjem i sprovoĎenjem bezbjednosne politike organizacija smanjuje mogućnost
gubitka podataka što u velikoj mjeri utieče na poslovanje. MeĎutim, nije u pitanju samo
gubitak podataka, već i vremena i novaca. Uništavanjem, kopiranjem ili mijenjanjem
povjerljivih podataka, organizacija moţe izgubiti poziciju na trţištu. UvoĎenjem informacione
bezbjednosne politike obezbjeĎuje se stabilno poslovanje neke organizacije.
Informacioni sistemi se uglavnom sastoje od tri glavna dijela:
računarsku opremu,
programe, i
komunikacije.
Zaštita različitim alatima i tehnologijama u informacionim sistemima često nije
dovoljna kako bi se zaštitili povjerljivi i osjetljivi podaci. Bezbjednost informacionih sistema
doprinosi ispravna upotreba svih djelova informacionog sistema i poštovanje pravila
propisanih bezbjednosnom politikom organizacije. Bezbjednosnom politikom propisuju se
dozvoljene i nedozvoljene radnje kako bi se obezbijedila postojanost informacinog sistema i
podataka koje on sadrţi.
Kreiranjem politike informacione bezbjednosti korisnicima se nameću obavezujuća
pravila ponašanja koja ograničavaju slobodu prilikom pregledanja povjerljivih informacija,
kao i pravila za ispravno korišćenje računarske opreme koja su korisniku data na korišćenje.
Kao što se moţe vidjeti na slici (na narednoj strani), mehanizmi zaštite i sprječavanja
su podijeljeni na tri osnovna nivoa:
1. fizička bezbjednost, pod kojom se smatra bezbjednost računarske opreme i
podataka,
2. lična bezbjednost, koja podrazumijeva zaštitu korisnika i povjerljivih informacija
o korisniku, i
3. bezbjednost organizacije, koja proizilazi iz prva dva nivoa.
Politika informacione bezbjednosti
Predlog Strana 20
Bezbjednosne informacione komponente - CIA (Confidentiality, Integrity, Availability)
Osnovna uloga informacione politike jeste obezbjedati tri jedinstvena svojstva
informacija:
Povjerljivost,
Integritet,
Raspoloţivost.
5.2.1 Povjerljivost (Confidentiality)
Povjerljivost je zaštita podataka koje štiti sistem od neovlašćenog pristupa. Ovaj tip
zaštite je od najveće vaţnosti za drţavne institucije i vojsku. TakoĎe, ovaj tip zaštite je vrlo
vaţan i za kompanije koje imaju potrebu zaštititi poslovne planove i informatičke vrijednosti
od konkurencije. Problemu privatnosti, koji u zadnje vrijeme privlači sve više interesa,
posvećuje se sve više paţnje, kako u drţavnim institucijama tako i u privatnom sektoru.
Ključni aspekt povjerljivosti je identifikacija korisnika i provjera autentičnosti.
Identifikacija je proces prijave korisnika na sistem, pri čemu sistem zna da takav
korisnik postoji. Na primjer, korisnik A ţeli se prijaviti na sistem. Sistem provjeri da li je
korisnik A prijavljen i ako jeste tada slijedi proces provjere autentičnosti.
Provjera autentičnosti je proces kojim sistem ţeli biti siguran da je korisnik koji se
prijavljuje pod imenom A upravo osoba A. Postoji više načina provjere autentičnosti.
Najrašireniji je unos lozinke. Sve više su u primjeni tehnologije koje jedinstvene fizičke
ljudske osobine, poput otiska prsta ili mreţnjače oka pretvaraju u digitalne zapise. Na primjer,
Politika informacione bezbjednosti
Predlog Strana 21
kako bi sistem provjerio da li je korisnik koji se pokušava prijaviti kao osoba A upravo ta
osoba, moţe pri prijavi traţiti od korisnika A odreĎenu lozinku koju zna samo osoba A. Ako
korisnik A pošalje upravo tu lozinku, sistem zna da je korisnik upravo osoba A. U suprotnom,
korisnik nije osoba A pa mu sistem ne dozvoljava korišćenje resursa.
Povjerljivost moţe biti narušena na više načina. Najčešće prijetnje povjerljivosti su:
napadači,
lažno predstavljanje,
neovlašćena aktivnost,
nezaštićeno preuzimanje podataka,
tzv. trojanski konji itd.
Napadači
Napadači su osobe koje koriste bezbjednosne slabosti sistema na način da neovlašćeno
koriste sistem ili ga onesposobe. Mnogi napadači, osim bezbjednosnih slabosti sistema,
koriste i metode otkrivanja lozinki ovlašćenih korisnika. Naime, lozinke u formi riječi koje se
nalaze u rječniku ili često korišćene lozinke, iskusnijim hakerima, pomoću programske
podrške, vrlo lako je otkriti. Otkrivanjem lozinke korisnika haker se prijavljuje na sistem kao
ovlašćeni korisnik i vrlo jednostavno obavlja kopiranje, brisanje ili mijenjanje podataka, ili ih
kopira na lokacije sa kojih su dostupni odreĎenom krugu ljudi ili čak svim korisnicima
Interneta. Iz tih razloga aktivnost hakera predstavlja veliku opasnost povjerljivosti
informacija.
Lažno predstavljanje
Laţno predstavljanje je prijetnja u kojoj korisnik preko lozinke drugog korisnika
dobija mogućnost pristupa sistemu pod drugim imenom, te mu se na taj način „otvaraju vrata“
za obavljanje zlonamjernih radnji. Laţno predstavljanje je čest slučaj u kompanijama koje
dozvoljavaju korisnicima da razmjenjuju lozinke.
Neovlašćena aktivnost
Ovaj tip aktivnosti se dogaĎa kad korisnik sistema koristi podatke za koje nema
ovlašćenja. Nedovoljna kontrola pristupa i zaštita podataka omogućavaju neovlašćen pristup,
što moţe ugroziti njihovu povjerljivost.
Kopiranje podataka na nezaštićene lokacije
Kopiranje podataka moţe ugroziti njihovu povjerljivost ukoliko se podaci kopiraju na
sistem s nedovoljnom bezbjednosnom zaštitom. Primjer ove vrste prijetnje je kopiranje
podataka sistema na lokacije sistema koje nemaju adekvatan nivo zaštite. Ukoliko do
kopiranih podataka pristup imaju ostali ovlašćeni korisnici sistema njihova je tajnost
ugroţena.
Lokalna mreža
Lokalna mreţa predstavlja prijetnju jer podaci koji putuju mreţom mogu biti
„uhvaćeni“ u svakom čvoru mreţe. Kako bi se izbjegla ova vrsta prijetnje svi tajni podaci koji
bi smjeli biti dostupni samo u odreĎenim čvorovima moraju biti kriptovani.
Trojanski konji
Trojanski konj je vrsta aplikacije koja moţe izazvati vrlo velike štete sistema. Primjer
trojanskog konja je aplikacija instalirana na računaru sistema nakon što ga nesvjesno pokrene
ovlašćeni korisnik. Takva aplikacija je programirana da kopira podatke na nezaštićene
Politika informacione bezbjednosti
Predlog Strana 22
dijelove sistema. Jednom pokrenut, trojanski konj ostaje aktivan na sistemu i konstantno
obavlja programirane zadatke.
5.2.2 Integritet (Integrity)
Integritet predstavlja zaštitu podataka od namjernog ili slučajnog neovlašćenog
mijenjanja. Dodatni element integriteta jest zaštita procesa ili programa kako bi se
onemogućilo neovlašćeno mijenjanje podataka. Glavni zahtjev komercijalnih i drţavnih
institucija jeste obezbijediti integritet podataka kako bi se izbjegle zloupotrebe i greške. To je
imperativ kako korisnici ne bi mogli mijenjati podatke na način da ih izbrišu, promjene ili
učine ključne podatke nebezbjednima. Primjeri gdje je integritet podataka od ključne vaţnosti
su sistemi za kontrolu leta, sistemi u medicinskim ustanovama, sistemi u finansijskim
ustanovama itd.
Ključni elementi za postizanje integriteta podataka su identifikacija i provjera
autentičnosti korisnika. Obzirom da integritet zavisi od kontrole pristupa, vaţno je pozitivno i
jedinstveno utvrditi identitet svih korisnika prijavljenih na sistem.
Kao i povjerljivost, integritet moţe biti ugroţen od hakera, laţnog predstavljanja,
neovlašćenih aktivnosti i nedozvoljenih programa (virusi, trojanski konji) jer sve navedene
aktivnosti mogu dovesti do neovlašćenog mijenjanja podataka.
Osnovni principi za kontrolu integriteta:
dodjeljivanje pristupa na osnovu potreba,
razdvajanje obaveza,
rotiranje obaveza.
Dodjeljivanje pristupa na osnovu potreba. Korisnici bi trebali dobijati pristup samo
onim podacima koji su im potrebni kako bi mogli obavljati zadane poslove. Korisnikov
pristup ključnim podacima bi trebao biti dodatno ograničen kvalitetno definisanim
transakcijama koje obezbjeĎuju da korisnik podatke moţe mijenjati u strogo kontrolisanim
uslovima u cilju čuvanja integriteta podataka. Bitan element kvalitetno definisanih transakcija
je biljeţenje podataka o mijenjanju podataka (tko, kada i koje) kako bi se kasnije moglo
utvrditi da li su podaci ispravno mijenjani od ovlašćene osobe. Transakcije bi trebale
dopuštati izmjenu podataka samo od unaprijed odabranih programa. Odabrani programi
moraju biti ispitani kako bi se izbjegla neovlašćena aktivnost.
Kako bi korisnici mogli uspješno koristiti sistem, privilegija pristupa mora biti
razumno raspodijeljena kako bi se omogućila potrebna operativna fleksibilnost. Dodjeljivanje
pristupa na osnovu potreba ima zadatak da obezbjeda maksimalnu kontrolu uz minimalno
ograničavanje korisnika.
Razdvajanje obaveza. Da bi se obezbijedilo da ni jedan pojedinac nema kontrolu
transakcije od početka do kraja, dvoje ili više ljudi moralo bi biti odgovorno za obavljanje
njezinog izvršavanja. Jedan od načina razdvajanja obaveza je da se svima koji imaju dozvolu
za kreiranje transakcije ukine pravo izvršavanja transakcija. Time se sprječava koršćenje
transakcija za obavljanje ličnih interesa, osim ukoliko se usaglase sve odgovorne osobe.
Rotiranje obaveza. Radne obaveze zaposlenih trebale bi periodično mijenjati kako bi
kontrolisanje transakcija za lične potrebe bilo još komplikovanije. Ovaj princip je efektivan u
Politika informacione bezbjednosti
Predlog Strana 23
kombinaciji s razdvajanjem obaveza. Problem u rotiranju obaveza se obi_no javlja u
organizacijama s ograničenim brojem kvalifikovanog kadra.
5.2.3 Raspoloživost (Availability)
Raspoloţivost je garancija ovlašćenim korisnicima sistema da će im sistem biti
dostupan u svakom trenutku kad za njim imaju potrebu.
Dva najčešća razloga nedostupnosti sistema su:
odbijanje usluge (Denial Of Service), i
gubitak mogućnosti obrade podataka.
Odbijanje usluge (DoS) svaki je zlonamjeran napad kojem je cilj uskraćivanje
legitimnim korisnicima mogućnosti pristupa uslugama. Napad odbijanja usluge moţe se
podijeliti u dvije kategorije:
1. Napadi koji iskorišćavaju poznate greške (propuste) u operativnim sistemima i
serverima. Ovi napadi koriste se za „rušenje“ sistema. Na taj način uskraćuju se
usluge (servisi) koji ti programi pruţaju. Primjeri ranjivih operativnih sistema
uključuju sve sisteme, kao što su Windows ili Linux ili servera kao što su DNS,
Proxy ili Web server. Svi ovi programi, koji imaju vaţnu i korisnu funkciju,
posjeduju programske propuste ( bug) koje hakeri koriste kako bi ih „srušili“. Za
ovakav tip napada nije potreban širokopojasni (broadband) pristup Internetu.
2. Napadi koji iskorišćavaju slabosti komunikacine infrastrukture i Internet
protokola. Poplavom paketa iskorišćavaju se resursi programa (servera). Na taj
način uskraćuju se usluge legitimnim korisnicima. Za razliku od prve kategorije
napada, u ovom slučaju napadač za uspješan napad mora imati širokopojasni
pristup Internetu. Ovakvom tipu napada naročito je teško ući u trag i od njega se
vrlo teškoodbraniti.
Gubitak mogućnosti obrade podataka moţe biti rezultat prirodnih katastrofa ili
destruktivnog djelovanja ljudi na sistem. Prirodnim katastrofama poput potresa ili poţara
moţe doći do oštećenja opreme, pa tako i podataka smještenih na sistemu, pri čemu je
trenutno onemogućeno funkcioniranje sistema. Čovjek moţe na informacioni sistem
destruktivno djelovati slučajnim ili namjernim destruktivnim radnjama.
Bezbjednosne mjere kojima se obezbjedjuje raspoloţivost su:
fizičke,
tehničke,
administrativne.
Fizičke mjere uključuju kontrolu pristupa koja sprječava neovlašćenim osobama
pristup informacionom sistemu, protivpoţarnim sistemima, sistemima za kontrolu
temperature prostorija itd.
Tehničke mjere sprječavaju nefunkcionisanje sistema koje moţe proizvesti kvar
opreme. Recimo, jedna od tehničkih mjera jeste i miroring diskova (više diskova sadrţi iste
informacije). TakoĎe, jedna od mjera jeste konstantna provjera rada aplikacija (ako aplikacija
ne izvršava zadatke ona se automatski ponovno pokreće). IzmeĎu ostalih, tehničke mjere
sadrţe mehanizme oporavka nakon nestanka struje (automatski se pokreće sekundarno
napajanje), automatsko kreiranje kopija podataka itd.
Politika informacione bezbjednosti
Predlog Strana 24
Administrativne mjere uključuju kontrolu pristupa, kontrolu izvršavanja procedura i
obuku korisnika. Odgovarajuća osposobljenost programera i stručnjaka za bezbjednost jeste
bitan faktor dostupnosti sistema. Na primjer, ostane li prilikom kontrole sistema baza
podataka zaključana, korisnici se ne mogu koristiti podacima koje ona sadrţi, tj. sistem
postaje nedostupan.
Politika informacione bezbjednosti
Predlog Strana 25
6. PROCES USPOSTAVLJANJA BEZBJEDNOSNE POLITIKE
Organizacija moţe svoju politiku informacione bezbjednosti bazirati na unaprijed
izraĎenim standardima, čime se uveliko smanjuju operativni troškovi i vrijeme potrebno za
sprovoĎenje iste. Bezbjednosnu politiku organizacije moguće je izraditi samostalno,
procjenom mogućih prijetnji informacionom sistemu, te procjenom i zaštitom slabih tačaka
sistema. Ovaj proces je dugotrajniji i skuplji, ali obezbjeĎuje način zaštite koji potpuno
odgovara potrebama organizacije. Iako se na prvi pogled samostalna izrada bezbjednosne
politike čini kao bolje rješenje, preporučuje se izrada bezbjednosne politike organizacije na
bazi standarda kako bi se obratila paţnja na sve moguće prijetnje koje mogu ugroziti
informacioni sistem.
Kao što je u poglavlju o standardima rečeno, bezbjednosna politika organizacije moţe
se zasnivati na ISO/IEC 27001 standardu. MeĎutim, potrebno je pomenuti da ISO/IEC 27001
standard opisuje sve šta je potrebno napraviti, ali ne i kako. Da bi se odgovorilo na pitanje
kako, koristi se standard ISO/IEC 27002 kroz potrebne smjernice. Upravo na bazi ovog
standarda opisan je proces uspostavljanja bezbjednosne politike, tj. koraci i postupci koje je
potrebno napraviti.
6.1 PROCJENA RIZIKA
Procjena rizika je bitan korak prilikom uspostavljanju bezbjednosti u informacionom
sistemu organizacije. Procjena rizika je usko povezana s definisanjem politike bezbjednosti.
Proces procjene rizika nije nimalo jednostavan, ali najlakše bi se mogao opisati kao
davanje odgovora (za svaku vrijednost koju organizacija posjeduje) na sljedeća četiri pitanja:
šta se moţe dogoditi (dogaĎaj prijetnje)?
ako se dogodi, kolika šteta moţe nastati (učinak prijetnje)?
koliko često se moţe dogoditi (frekvencija prijetnje)?
koliko su tačni odgovori na prva tri pitanja?
Odgovori na navedena pitanja mogu biti vrlo opseţni, lista onoga što bi trebalo da se
uradi je vrlo dugačka, zato je navedena četiri pitanja često potrebno proširiti sa još tri:
što se moţe učiniti?
koliko će učinjeno koštati?
da li je utrošeno isplativo?
Odgovori na ova pitanja uravnoteţuju potrebe i mogućnosti organizacija za
implementacijom bezbjednosnih kontrola. Kako bi se postigla ravnoteţa potreba i mogućnosti
neke je rizike čak potrebno i prihvatiti. Rizik je prihvatljiv ukoliko je on vrlo malen ili
ukoliko su posljedice prihvatljive za organizaciju.
Dakle, pored osnove - upravljanja bezbjdenošću informacija, drugi vaţan dio sistema
je predstavlja upravljanje rizikom, odnosno uspostavljanje odnosa izmeĎu ranjivosti,
potencijalnih prijetnji i posljedica, to jest uticaja na informacioni sistem.
Proces upravljanja rizikom sastoji se od sljedećih koraka:
Politika informacione bezbjednosti
Predlog Strana 26
identifikacije resursa,
analize rizika,
tumačenja rezultata i preduzimanja odgovarajućih protivmjera.
6.1.1 Identifikacija resursa
Jedan od uslova za uspješno upravljanje bezbjednošću informacionog sistema jeste
identifikacija resursa koji su dio tog sistema. Bez precizne identifikacije resursa nije moguće
sprovesti njegovu kvalitetnu zaštitu.
Kroz proces identifikacije resursa potrebno je evidentirati sve resurse unutar
informacionog sistema te procijeniti njihovu relativnu vrijednost za organizaciju. Kako bi se
mogla odrediti vrijednost resursa za organizaciju, potrebno je poznavanje poslovnih procesa
koji se odvijaju u organizaciji. Na osnovu toga je kasnije u procesu upravljanja rizikom,
odnosno prilikom analize rizika moguće ocijeniti potreban nivo zaštite za svaki pojedini
resurs bitan za funkcionisanje poslovnih procesa unutar organizacije.
Kvalitetnom identifikacijom resursa nuţno je postići sledeće zahtjeve:
ustanoviti vlasnike poslovnih procesa, odnosno odgovorne osobe,
identifikovati pojedine resurse bitne za funkcionisanje poslovnih procesa,
procijeniti vrijednost resursa,
ustanoviti njihovo fizičko ili logičko mjesto u sistemu,
napraviti odgovarajuću dokumentaciju.
U načelu, vlasnik procesa je taj koji bi morao da zna da procijeni vrijednost resursa
bitnih za funkcionisanje poslovnih procesa, no u praksi to često i nije slučaj. To ukazuje na
probleme u organizaciji i u takvim slučajevima uspostvljanje sistema za upravljanje
informacionom bezbjenošću obično je jalov posao.
Podjelu resursa moguće je napraviti prema raznim pravilima. U informacionim
sistemima resurse je moguće podijeliti u sljedeće kategorije:
informacije (baze podataka, dokumentacija, autorska djela itd.),
programska podrška (aplikacije, operativni sisteni, razvojni alati itd.),
oprema (računarska oprema, mreţno-komunikaciona oprema, mediji za čuvanje
podataka i ostala oprema nuţna za rad informacionog sistema),
servisi (računarski i komunikacioni i uopšteno servisi kao što su klimatizacija,
osvjetljenje itd.).
Za svaki od identifikovanih resursa potrebno je napraviti procjenu njegove relativne
vrijednosti unutar sistema bez obzira u koju kategoriju pripada. Često se naglasak prilikom
upravljanja bezbjednošću informacionog sistema polaţe na same informacije, dok su, na
primjer servisi zanemareni. Gubitak nekog od tih resursa moţe dovesti do narušavanja rada
sistema, pa čak i potpunog zastoja poslovnog procesa.
Resurse koji pripadaju različitim kategorijama moguće je klasifikovati na razne
načine. Obzirom na to da je u informacionom sistemu ipak najvaţnija sama informacija,
potrebno je uspostaviti odgovarajući sistem podjele.
Politika informacione bezbjednosti
Predlog Strana 27
Unutar sistema su smještene informacije različitih vrijednosti za organizaciju: od
potpuno nevaţnih do onih ključnih, pa i kritičnih. Cilj podjele informacija je obezbjedanje
njihove odgovarajuće zaštite.
Uz procjenu rizika potrebno je odrediti kako postupati s rizicima. Mogući postupci
uključuju:
ugraĎivanje odgovarajućih kontrola koje smanjuju rizik,
svjesno i objektivno prihvatanje rizika, udovoljavajući bezbjednosnoj politici
organizacije i kriterijumimama prihvatljivog rizika,
izbjegavanje rizika zabranama, tj. onemogućavanjem akcija koje prouzrokuju
rizik.
Za rizike čiji postupci uključuju implementaciju odgovarajućih kontrola, te kontrole
moraju biti odabrane i implementirane zadovoljavajući zahtjeve definisane procjenom rizika.
Kontrole moraju obezbijediti da su rizici dovedeni na prihvatljiv nivo uzimajući u
obzir:
ograničenja i zahtjeve definisane nacionalnim i internacionalnim zakonima i
propisima,
ciljeve organizacije,
operativne potrebe i ograničenja,
cijenu implementacije.
6.1.2 Analiza rizika
Analiza rizika je postupak kojem je cilj da se ustanove ranjivosti sistema, uočiti
potencijalne prijetnje (rizike) te na odgovarajući način kvantifikovati moguće posljedice kako
bi se mogao odabrati najprimjereniji način zaštite, odnosno procijeniti opravdanost uvoĎenja
dodatnih protivmjera.
Postoje dva osnovna pristupa analizi rizika:
Kvantitativna analiza;
Kvalitativna analiza.
Kvantitativna analiza podrazumijeva iskazivanje rizika u očekivanim novčanim
troškovima na godišnjem nivou, dok rezultat kvalitativne analize iskazuje samo relativan
odnos vrijednosti šteta nastalih djelovanjem neke prijetnje i uvoĎenja protivmjera. Pritom
valja imati na umu da je ta procjena subjektivne prirode pa je stoga podloţna greškama.
U načelu kombinacija kvantitativne i kvalitativne analize predstavlja pristup primjeren
za većinu organizacija. Čista kvantitativna analiza uglavnom se primjenjuje samo u
finansijskim institucijama poput banaka i osiguravajućih društava.
6.1.3 Tumačenje rezultata
Analizom rizika moraju se utvrditi sljedeće činjenice:
kritični resursi i prijetnje i vjerovatnost njihove pojave,
potencijalni gubici koje uzrokuje ostvarenje prijetnje,
preporučene protivmjere i njihova vrijednost (relativna ili novčana),
Politika informacione bezbjednosti
Predlog Strana 28
nadzor i zaštita.
Na osnovu dobivenih rezultata potrebno je odlučiti kakve treba preduzeti protivmjere.
Postoje tri mogućnosti djelovanja koje nuţno nijesu meĎusobno isključive:
smanjenje rizika,
prenos rizika,
prihvatanje rizika.
Jedini vaţan parametar prilikom izbora načina djelovanja je isplativost za
organizaciju. Smanjenje rizika predstavlja proces u kojem se na temelju provedene analize
rizika nastoje sprovesti odgovarajuće protivmjere i uvesti bezbjednosni nadzor da bi se
zaštitili resursi organizacije. U tom postupku nastoji se smanjiti vjerovatnost prijetnje i(ili)
njen uticaj na organizaciju. Ukoliko se pokaţe isplativijim, rizik je moguće prenijeti na treću
stranu (na primjer, osiguravajuće društvo). Isto tako moguće je da implementacija protivmjera
ili prijenos rizika nijesu isplativi. U tom slučaju organizacija moţe odlučiti da prihvati rizik,
odnosno troškove koji iz toga proizlaze.
Jedini pristup koji u upravljanju rizikom nije prihvatljiv je ignorisanje ili
zanemarivanje rizika. Upravljanje rizikom je stalan proces i odnos vrijednosti resursa,
ranjivosti i prijetnji sa vremenom se mijenja.
6.2 POLITIKA INFORMACIONE BEZBJEDNOSTI ORGANIZACIJE
Politikom informacione bezbjednosti organizacije uspostavlja se niz pravila i
smjernica dobijenih od strane rukovodećih ljudi organizacije kako bi se obezbijedila
povjerljivost, integritet i raspoloţivost informacija. Da bi bezbjednosna politika bila efikasna
potrebno je tu politiku primijeniti na svaki dio organizacije.
6.2.1 Dokument bezbjednosne politike
Dokument politike informacione bezbjednosti je sluţbeni dokument organizacije i
moraju ga odobriti vodeći ljudi unutar te organizacije. Dokument je potrebno objaviti i poslati
svim zaposlenim i korisnicima. Bezbjednosnu politiku potrebno je napisati kako bi bila
razumljiva svim stranama kojih se tiče. Dokument bezbjednosne politike mora sadrţati:
definicije bezbjednosti informacija, ciljeve i opseg i vaţnost bezbjednosti,
stavove rukovodioca kojima se podrţavaju ciljevi i principi informacione
bezbjednosti,
okvire uspostavljanja ciljeva i provjera,
objašnjenje bezbjednosne politike, načela i standarda,
saglasnost sa zakonodavnim, nadzornim i ugovornim zahtjevima,
zahtjeve o edukovanju po pitanju bezbjednosti,
posljedice nepridrţavanja pravila bezbjednosne politike,
definicije opštih i specifičnih odgovornosti rukovodioca informacione
bezbjednosti i
reference na literaturu koja podrţava uvedenu bezbjednosnu politiku.
Politika informacione bezbjednosti
Predlog Strana 29
6.2.2 Provjera bezbjednosne politike
Pojavom novih prijetnji informacionim sistemima, ugradnjom nove opreme u
informacioni sistem, i drugim radnjama mijenjaju se parametri na kojima je uspostavljena
bezbjednosna politika. Kako bi postojeća bezbjednosna politika bila jednako efikasna kao i u
trenutku kada je uvedena, potrebno je uzeti u obzir promjene koje su se dogodile, te
prilagoditi pravila i procedure. Nastale promjene nijesu nuţan uslov za poboljšanje
bezbjednosne politike. Bezbjednosnu politiku potrebno je prilagoĎavati na godišnjoj bazi čak
i ako se ni jedan parametar u okruţenju organizacije nije promijenio jer je moguće da uvedena
bezbjednosna politika ne odgovara organizaciji u potpunosti. Provjeru bezbjednosne politike
preporučeno je izvoditi u razmaku od godinu dana, ali u slučaju incidenata, otkrivanja
ranjivosti i ugradnje nove opreme čak i češće. Provjera bezbjednosne politike ne uslovljava
nuţno i promjenu, ali je potrebno uzeti nove okolnosti u obzir kako bi informacioni sistem bio
primjereno zaštićen.
Neke od činjenica koje treba uzeti u obzir pri provjeri bezbjednosne politike su:
rezultati nezavisnih ispitivanja,
promjene koje mogu pozitivno uticati na bezbjednost informacija,
promjene vezane uz ranjivosti i prijetnje informacionim sistemima,
izvještaje o bezbjednosnim incidentima i
preporuke stručnih organizacija.
6.3 ORGANIZACIJA INFORMACIONE BEZBJEDNOSTI
Pri organizaciji informacione bezbjednosti potrebno je jasno odrediti sve odgovornosti
u skladu s bezbjednosnom politikom. Rukovodeći ljudi organizacije treba da podrţavaju
efikasno sprovoĎenje bezbjednosne politike, i na propisan način kaţnjavaju one koji krše
pravila. TakoĎe, bitno je ispravno koordinirati zaposlene kako bi sprovedena bezbjednosna
politika bila uspješna. Dalji koraci koji se preduzimaju pri organizaciji informacione
bezbjednosti su:
proces autorizacije - odnosi se na procjenu nivoa bezbjednosti nekog dijela
opreme, npr. laptop-a.
ugovor o povjerenju - popisivanje vrijednosti koje organizacija posjeduje na način
da se svako korišćenje dokumentuje sa ciljem zaštite vrijednosti od kopiranja,
uništavanja i zamjene od strane zaposlenih, partnera ili treće strane.
savjeti stručnjaka za informacionu bezbjednost - potrebno je savjetovati se sa
organizacijama koje se bave računarskom bezbjednošću kako bi se u slučaju
bezbjednosnih incidenata dobili primjereni savjeti i smjernice koje upućuju kako
djelovati.
saradnja s drugim organizacijama - odrţavanje kontakta sa drugim
organizacijama zbog unapreĎenja znanja o bezbjednosti informacionih sistema ili
brzih obavještenja u slučaju bezbjednosnog incidenta.
provjera bezbjednosti sistema - potrebno je redovno provjeravati bezbjednost
informacionog sistema zbog obezbjedjenja u smislu ispravnog funkcionisanja
sistema zaštite.
bezbjednost pristupa treće stane - odrţati jednak nivo bezbjednosti i kod
informacija kojima treća strana ima pristup.
Politika informacione bezbjednosti
Predlog Strana 30
identifikacija rizika kod pristupa treće strane - prije dodjele prava pristupa trećoj
strani potrebno je provjeriti moguće rizike kako bi se informacioni sistem
primjereno zaštitio.
zahtjevi bezbjednosti u ugovorima s trećom stranom - ukoliko postoji dogovor sa
trećom stranom koja ima pristup informacionom sistemu, potrebno je formalnim
dokumentom odrediti pravila zaštite koja su u skladu sa bezbjednosnom politikom
organizacije.
6.4 UPRAVLJANJE IMOVINOM
Kako bi se obezbijedila zaštita imovine organizacije potrebno je sprovesti sljedeće
korake:
popis imovine - identifikacija imovine organizacije u svrhu procjene vrijednosti i
vaţnosti, i shodno tome primjerenog nivoa zaštite.
vlasništvo nad imovinom - kako ne bi došlo do mijenjanja ili otuĎivanja imovine,
potrebno je odrediti vlasnika, tj. osobu odgovornu za bezbjednost i zaštitu
imovine.
prihvatljivo korišćenje imovine - definisanje jasnih pravila ispravnog korišćenja
imovine kako ne bi došlo do gubitka informacija ili bezbjednosnog incidenta.
klasifikacija informacija - primjena odgovarajućeg nivoa zaštite na informacije.
smjernice za klasifikaciju - klasifikacija se izvodi na osnovu vrijednosti,
osjetljivosti, vaţnosti za organizaciju i zakonodavnih okvira.
označavanje i rukovanje informacijama - definisanje procedura za označavanje i
rukovanje informacijama, npr. procedure za kopiranje, snimanje, prenos, itd.
6.5 ZAŠTITA OD ZAPOSLENIH
Zaposleni često rade nesvjesne greške, ali jednako tako i svjesne zlonamjerne radnje.
Kako bi se zaštitile informacije i imovina organizacije potrebno je uzeti u obzir sljedeće:
uloge i odgovornosti - potrebno je definisati uloge i odgovornosti zaposlenih,
radnika pod ugovorom i treće strane.
provjera - provjeravaju se potencijalni zaposleni, ulagači ili poslovni partneri kako
bi se povećala bezbjednost informacionog sistema.
uslovi zaposlenja - prije zapošljavanja ili ugovaranja posla sa ulagačima ili trećom
stranom potrebno je u ugovor uključiti dio koji sve strane obvezuje na poštovanje
bezbjednosne politike organizacije.
odgovornost rukovodioca - informisanje zaposlenih o ulogama i odgovornostima
u sprovoĎenju bezbjednosti.
edukacija o informacionoj bezbjednosti - zaposlenih ili treće strane kako bi se
postigli zadovoljavajući rezultati, tj. kako bi svi bili svjesni vaţnosti zaštite
informacionog sistema.
raskid ugovora - potrebno je jasno definisati procedure koje je potrebno izvršiti po
raskidu radnog odnosa, ili ugovora, tj. odrediti pravila o vraćanju imovine
organizacije koja je zaposlenom data na korišćenje, ukidanje prava pristupa
informacionom sistemu, itd.
Politika informacione bezbjednosti
Predlog Strana 31
6.6 FIZIČKA ZAŠTITA I ZAŠTITA OD OKOLINE
Cilj definisanja ovog poglavlja unutar bezbjednosne politike je sprječavanje nastanka
fizičke štete od strane zaposlenih ili bilo kojeg pojedinca koji je s organizacijom potpisao
ugovornu obavezu.
Potrebno je odrediti sljedeće:
područje fizičke zaštite - djelovi organizacije koji sadrţe povjerljive informacije
moraju biti zaštićeni nekom vrstom fizičke prepreke, npr. zidovima, vratima,
autentifikacijskim ureĎajima, itd,
fizička provjera ulaska - kako bi se obezbijedilo da pravo pristupa odreĎenim
prostorijama unutar organizacije imaju samo ovlašćene osobe, potrebno je
postaviti odgovarajuće metode provjere ulaska,
bezbjednost opreme - kako ne bi došlo do gubitaka, štete ili prekida poslovnih
aktivnosti potrebno je obezbijediti zaštitu primjerenu vrijednostima organizacije,
smještaj i zaštita opreme - opremu je potrebno smjestiti u skladu sa uputstvima
proizvoĎača opreme,
bezbjednost instalacija - kako ne bi došlo do oštećenja informacionog sistema
potrebno je voditi računa o ispravnosti instalacija u prostorijama organizacije,
bezbjednost kod kabliranja - kablovi za napajanje električnom energijom ili
telekomunikacioni kablovi moraju biti zaštićeni u skladu s propisima, i
održavanje opreme - potrebno je redovno odrţavati opremu prema uputstvima
proizvoĎača, a odrţavanje smiju raditi samo ovlašćene osobe.
6.7 UPRAVLJANJE KOMUNIKACIJAMA I OPERACIJAMA
Komunikacije i operacije (aktivnosti) organizacije su vrlo vaţni procesi. Stoga je
potrebno jasno definisati pravila upravljanja komunikacijama i operacijama. Područja koja je
potrebno obraditi su:
procedure rada i odgovornosti - potrebno je odrediti procedure i odgovornosti za
ispravno upravljanje i rad jedinica za obradu informacija čime se smanjuje rizik od
namjerne i nenamjerne greške,
dokumentovane procedure rada - operativne procedure moraju biti
dokumentovane, odrţavane i dostupne svim korisnicima kojima su potrebne,
nadzor promjena u operativnim sistemima i objektima - promjene vezane uz
objekte i sisteme moraju biti provjerene,
razdvajanje dužnosti - postupak razdvajanja obveza i odgovornosti zaposlenih
kako bi se mogućnosti obavljanja neovlašćenih i neţeljenih radnji svele na
minimum,
razdvajanje objekata za razvoj, ispitivanje i operativni rad - potrebno je odvojiti
razvojne i aktivnosti vezane za ispitivanje, isto kao i aktivnosti vezane uz
operativni rad. Npr. program koji se provjerava ili razvija moţe biti opasan za
ispravno funkcionisanje informacionog sistema, pa je potrebno odvojiti sisteme na
kojima se obavlja razvoj i ispitivanje od onih na kojima se radi,
planiranje i prihvatanje sistema - radi obezbjeĎenja dostupnosti potrebnih
kapaciteta i računarskih i drugih resursa,
zaštita od zlonamjernih programa - potrebno je uvesti zaštitu koja će odgovorne
ljude u organizaciji upozoriti da je informacioni sistem ugroţen zlonamjernim
programom kako bi se zaštitio integritet podataka,
Politika informacione bezbjednosti
Predlog Strana 32
provjere protiv zlonamjernih programa - ugraditi odreĎene alate i mjere koji će
redovno pregledati da li u sistemu postoje zlonamjerni programi,
izrada bezbjednosnih kopija - potrebno je redovno izraĎivati bezbjednosne kopije
podataka radi očuvanja integriteta i raspoloţivosti istih,
upravljanje bezbjednošću mrežnog sistema - potrebno je obezbijediti zaštitu
informacija koje mreţni sistem sadrţi, te zaštititi sam mreţni sistem,
rukovanje i bezbjednost medija - potrebno je uspostaviti procedure za zaštitu
dokumenata, računarskih medija i dokumentacije od kraĎe, neovlašćenog pristupa,
uništavanja, itd.,
upravljanje prenosnim medijima - uspostavljanje pravila za rukovanje prenosnim
medijima i podacima koje sadrţe,
uklanjanje medija - ukoliko više nijesu potrebni, mediji se mogu uništiti, ali na
ispravan način kako treća strana ne bi otkrila informacije koje medij sadrţi,
procedure za rukovanje informacijama - odrediti pravila za ispravno rukovanje
informacijama kako bi se zaštitile od neovlašćenog otkrivanja i zloupotrebe,
razmjena informacija - obezbijediti zaštitu pri razmjeni podataka i programa
unutar organizacije ili izvan nje, i
nadgledanje - kako bi se pravovremeno uočile neovlašćene aktivnosti.
6.8 PROVJERA PRISTUPA
Vaţno je odrediti koji će korisnik imati pristup odreĎenim informacijama. Stoga je
potrebno definisati sljedeće:
provjera pristupa u skladu s poslovnim zahtjevima - pristup informacijama treba
odgovarati zahtjevima poslovnih duţnosti kako bi se spriječio neovlašćeni pristup
podacima,
politika provjere pristupa - potrebno je uspostaviti niz pravila kojima će se
odrediti nivo pristupa zaposlenih,
upravljanje pristupom korisnika - kako bi se spriječio neovlašćeni pristup
informacijama,
registracija korisnika - uspostavljanje formalnog postupka registracije radi
dobijanja prava pristupa višenamjenskim informacionim sistemima,
upravljanje privilegijama - potrebno je odrediti nivoe privilegija u informacionom
sistemu koje je potrebno obezbijediti zaposlenim,
upravljanje korisničkim lozinkama - potrebno je izraditi formalnu izjavu kojom
se korisnici obavezuju da dobijene lozinke čuvaju tajnim, i zabranu odavanja
lozinke tokom bilo kakvog oblika komunikacije (e-mailom, telefonom, pismeno),
odgovornost korisnika - potrebno je podstaći svijest korisnika o odgovornosti
vezanoj uz lozinke i opremu koja im je data na korišćenje radi smanjenja
mogućnosti neovlašćenog pristupa,
provjera pristupa mreži - potrebno je uspostaviti provjeru mreţnih servisa i usluga
kako bi se zaštitio mreţni sistem od nedozvoljenih aktivnosti,
provjera pristupa operativnom sistemu - kako bi se spriječio neovlašćeni pristup
računarskim resursima potrebno je uspostaviti bezbjednosne mehanizme unutar
operativnog sistema,
praćenje pristupa sistema - kako bi se pravovremeno uočili pokušaji
nedozvoljenih aktivnosti potrebno je dokumentovati i provjeriti pristup sistema,
Politika informacione bezbjednosti
Predlog Strana 33
bilježenje događaja - u slučaju pojave bezbjednosnog incidenta potrebno je
biljeţiti prethodne aktivnosti u sistemu kako bi se moglo odrediti šta se zapravo
dogodilo, i
praćenje upotrebe sistema - kako bi se obezbijedilo da korisnici sistema izvode
samo one aktivnosti za koje su ovlašćeni potrebno je pratiti koliko i kako ga
koriste.
6.9 RAZVOJ I ODRŽAVANJE SISTEMA
Kako bi se obezbijedila dostupnost sistemu i njegovo funkcionisanje, potrebno je
odrţavati njegovu opremu. TakoĎe je potrebno definisati sve bezbjednosne zahtjeve koji se
nameću, uključujući niz postupaka za slučaj bezbjednosnih incidenata. Sve zahtjeve je
potrebno dokumentovati.
Provjerom ulaznih podataka moguće je spriječiti namjerno ili nenamjerno unošenje
netačnih podataka. Provjera se moţe sprovoditi uzimajući u obzir:
nedozvoljene vrijednosti,
nedopuštene znakove u pojedinim poljima,
nepotpune podatke, ili
prekoračenje količine podataka za unos.
Najvaţnija kategorija koju ovo poglavlje obuhvata je svakako provjera i odrţavanje
operativnog dijela sistema od kojeg se zahtjeva neprekidan i ispravan rad.
6.10 UPRAVLJANJE INCIDENTIMA U INFORMACIONOM SISTEMU
Svrha ovog poglavlja je dati smjernice na koji način u slučaju bezbjednosnog
incidenta brzo i efikasno djelovati. TakoĎe, potrebno je sve zaposlene edukovati kako bi znali
prepoznati da se radi o nekoj vrsti bezbjednosnog incidenta, te da odmah upozore nadleţne.
Definisani su sljedeći koraci:
prijava bezbjednosnih incidenata - bezbjednosni incident potrebno je prijaviti
prema unaprijed odreĎenoj proceduri u što kraćem vremenskom roku,
prijava ranjivosti sistema - po otkrivanju bezbjednosnog propusta u
informacionom sistemu potrebno je prijaviti ranjivost u što kraćem vremenskom
roku,
upravljanje bezbjednosnim prijavama - potrebno je unaprijed definisati procedure
u slučaju bezbjednosnih incidenata ili ranjivosti kako bi se u što kraćem
vremenskom roku iste mogle riješiti, i
odgovornosti i procedure - potrebno je definisati procedure koje će obuhvatiti
različite vrste učestalih bezbjednosnih incidenata, postupke koji će sistem zaštititi
od ponavljanja istog bezbjednosnog incidenta, i sačuvati i zaštititi dokumentaciju o
incidentu kako bi se upotrijebila kao dokaz u sudskom postupku.
6.11 UPRAVLJANJE POSLOVNIM KONTINUITETOM
Uslijed prekida rada u informacionom sistemu, organizacija moţe doţivjeti znatne
financijske gubitke. Stoga je vrlo vaţno odrediti:
Politika informacione bezbjednosti
Predlog Strana 34
proces upravljanja kontinuitetom poslovanja - organizacija se mora suočiti s
rizicima poslovanja i biti spremna primjereno reagovati ukoliko se dogodi incident
koji moţe prouzrokovati zastoj u poslovanju,
kontinuitet poslovanja i analiza učinka - potrebno je identifikovati i analizirati
dogaĎaje, tj. incidentne situacije, koji mogu prekinuti poslovni proces te definisati
plan za kontinuirano poslovanje organizacije,
ispitivanje i održavanja - potrebno je kontinuirano sprovoditi ispitivanja kako bi
se pravovremeno otkrili propusti uslijed promjena u sistemu,
identifikacija rizika - potrebno je odrediti potencijalne prijetnje informacionom
sistemu organizacije,
analiza rizika - potrebno je odrediti koje je mjere moguće primijeniti kako bi se
smanjili rizici kojima je izloţen informacioni sistem,
prirodne katastrofe - primjena provjera za minimiziranje štete nastale prirodnim
katastrofama (zemljotresi, poplave, poţari, itd.) i
korisnici - potrebno je preduzeti sve mjere zaštite i opreza kako korisnici sistema
ne bi mogli prouzrokovati prestanak ispravnog rada informacionog sistema.
6.12 USKLAĐIVANJE
Vaţno ja da su bezbjednosna politika i pravila koja se primjenjuju na informacioni
sistem neke organizacije usklaĎena sa zakonskim i ugovornim zahtjevima. Zbog toga je
potrebno uspostaviti pravila vezana uz:
intelektualno vlasništvo, autorska prava - potrebno je definisati odgovarajuća
pravila koja će biti u skladu sa zakonskim odredbama koje su vezane uz ugovore o
intelektualnom vlasništvu i autorskim pravima,
čuvanje zapisa organizacije - zapise je potrebo primjereno zaštititi od gubitka,
oštećenja i krivotvorenja,
sprečavanje zlouporabe uređaja za obradu informacija - korišćenje računarskih
resursa u neposlovne ili neovlašćene svrhe potrebno je dokumentovati kao
neprimjereno, i
nadgledanje korisnika - ukoliko zakon tako nalaţe, korisnike je potrebno
obavijestiti o pravilima o nadgledanju.
Politika informacione bezbjednosti
Predlog Strana 35
7. ZAKLJUČAK
Usvajanjem Politike informacione bezbjednosti sa mandatom na najširu društvenu
zajednicu, Zakona o informacionoj bezbjednosti, meĎunarodnih standarda iz serije ISO/IEC
27000, Uredbe o mjerama informacione bezbjednosti i pravilnika o standardima za pojedine
oblasti, uz već usvojeni Program informacione bezbjednosti u Crnoj Gori i zakona kojima se
ureĎuje tajnost podataka, elektronska trgovina, elektronski potpis, elektronski dokument,
arhivsko poslovanje, krivični postupak, Crna Gora u potpunosti pravno uredjuje ovu oblast.
Poštujući preporuke i najbolju praksu, utemeljenu na meĎunarodnim standardima prilikom
izrade navedenih propisa, stvara se ICT platforma neophodna za saradnju sa svim relevantnim
faktorima iz okruţenja, u prvom redu sa EU i NATO. Saradnja bazirana na povjerenju koje je
normirano i realizovano u svim segmentima informacionog društva ima perspektivu
kontinuiranog razvoja i dobrobiti i za graĎane i za drţavu.
Činjenica da informaciona bezbjednost, kao dio ukupne nacionalne bezbjednosti, sve
više dobija na značaju nameće potrebu njenog daljeg razvoja, kako u teorijskom, tako i u
praktičnom smislu. U Crnoj Gori ne postoji dovoljno razvijena svijest o informacionoj
bezbjednosti, kao ni organizovana redovna edukacija bilo kojeg nivoa. Podizanje svijesti o
potrebi i neophodnosti uvoĎenja informacione bezbjednosti, kao i njeno izučavanje kroz
sistem redovnog visokoškolskog obrazovanja ima vaţnu ulogu u daljem razvoju
informacionog društva. S obzirom na kompleksnost, višeslojnost i interdisciplinarnost,
obučenost u sferi informacione bezbjednosti podrazumijeva odreĎeni fond tehničkih,
upravljačkih i specijalističkih znanja. Sa svakim novim dostignućem u oblasti informacionih
tehnologija javljaju se novi aspekti informacione bezbednosti što mora biti propraćeno naučno
istraţivačkim radom.
Ova politika informacione bezbjednosti u sebi sadrţi i edukativnu komponentu. Na taj
način se htjelo ukazati da svaka organizacija u Crnoj Gori mora shvatiti neophodnost i
potrebu realizacije sopstvene politike informacione bezbjednosti. Da bi se te politike mogle
realizovati neophodno je, paralelno sa normativnim uredjivanjem ove oblasti, raditi na
programima koji će u narednom periodu podići ukupnu svijest i kreirati neophodnu kadrovsku
i naučnu infrastrukturu. Planiranjem mjera i aktivnosti, ohrabrivanjem stručnog i naučnog
rada, organizovanjem stručnih debata, sistemskom promocijom novih tehnologija i metoda
informacione bezbjednosti, kao i ažuriranjem propisa, obezbijediće se uslovi za brzo i
kvalitetno priključenje Crne Gore razvijenom svijetu, a time i uslovi za poboljšanje ukupnog
kvaliteta ţivota.
Politika informacione bezbjednosti
Predlog Strana 36
POJMOVI
Informaciona tehnologija (IT)
Skup povezanih informacionih resursa namijenjenih za
upravljanje informacijama – skladištenje, obradu, prenos
i dijeljenje informacija.
Informaciono-komnikaciona
tehnologija (ICT)
Savremeni termin koji označava napredne informacione i
komunikacione resurse za upravljanje i razmjenu
informacija.
Informaciona bezbijednost Zaštita povjerljivosti, integriteta i raspoloţivosti
informacije.
Organizacija
Entitet bilo koje veličine ili sloţenosti koji djeluje
samostalno ili kao dio veće organizacione cjeline
(privredni subjekat, drţavni organ, NVO, ...)
Izvor prijetnje
Osmišljeni način – metod da se namjerno iskoristi neka
slabost ICT resursa / sistema. OdreĎen je motivacijom i
drugim karakteristikama.
Prijetnja Potencijal (mogućnost) izvora prijetnje da ugrozi ili uništi
integritet, povjerljivost i / ili raspoloţivost informacije.
Ranjivost
Slabost, mana ili nedostatak kontrole u ICT sitemu koji
omogućava pojavu prijetnje informacijama, servisima ili
drugim ICT resursima.
Rizik (ICT rizik)
Veličina sa kojom se izraţava odnos izmeĎu vjerovatnoće
da će neka ranjivost ICT sistema biti uspješno iskorišćena
od strane prijetnje i odgovarajućeg negativnog uticaja
(štete) na sistem.
Princip Need-To-Know
Pozitivni pristup prema potrebi korisnika da ima pravo
pristupa, upoznavanje sa ili posjedovanje informacija koje
su mu potrebne za vršenje sluţbene duţnosti odnosno
obavljanje zadataka.
Raspoloţivost informacije Osobina da je informacija pristupačna i upotrebljiva na
zahtjev ovlašćenog korisnika ili entiteta.
Integritet informacije Osobina da informacija nije izmijenjena ili uništena na
nedozvoljen način.
Povjerljivost informacije Osobina da informacija nije dostupna odnosno da se ne
otkriva neovlašćenim korisnicima ili entitetima.
COMPUSEC Bezbijednost podataka na računarima.
COMSEC Bezbijednost podataka u prenosnim sistemima.
INFOSEC Bezbijednost informacionih sistema.
TEMPEST Skup standarda kojima se propisuju mjere zaštite od
elektromagnetnog prisluškivanja elektronske opreme.
TECSEC
Bezbjednost informacione infrastrukture u posebnim
kategorijama prostora od različitih vrsta pasivnog ili
aktivnog prisluškivanja